Um mit der Firewall -Konfiguration in jedem Betriebssystem zu beginnen, müssen wir zunächst verstehen, was eine Firewall ist und was sie tut. Lassen Sie uns zuerst etwas über Firewall kennenlernen.
Was ist eine Firewall?
Eine Firewall ist in einfachen Worten ein System, das für die Netzwerksicherheit verwendet wird, indem der Netzwerkverkehr überwacht, gesteuert und gefiltert wird (eingehende oder ausgehende). Wir können einige Sicherheitsregeln festlegen, wenn wir einen bestimmten Datenverkehr zulassen oder blockieren möchten. Für die Sicherheit des Systems ist eine gut konfigurierte Firewall unerlässlich.
Firewalld: Ein Firewall -Management -System
Wenn wir über die Firewall -Konfiguration in CentOS 8 -Betriebssystem sprechen, wird CentOS 8 mit einem Firewall -Dienst geliefert, der als bekannt ist Firewall. Der Firewall Daemon ist eine hervorragende Software für Firewall -Management, um den Netzwerkverkehr des Systems zu verwalten und zu steuern. Es wird von mehreren wichtigen Linux -Verteilungen für die Durchführung der Firewall -Konfiguration und als Netzwerkpaketfiltersystem verwendet.
Dieser Beitrag wird alles über lernen Firewall und zeigen Sie, wie Sie eine Firewall -Konfiguration im CentOS 8 -Betriebssystem einrichten und durchführen. Wir werden auch einige grundlegende Befehle ausprobieren und einige grundlegende Firewall -Konfigurationen durchführen, um den Netzwerkverkehr zu verwalten. Beginnen wir mit dem Verständnis von Basic Firewall Konzepte.
Grundlegende Konzepte der Firewalld
Firewall Daemon verwendet Firewall-CMD dahinter. Die Firewall-CMD ist das Befehlszeilendienstprogramm oder der Kunde der Firewall Dämon. Lassen Sie uns einige Konzepte dieses Tools diskutieren und verstehen.
Um den Verkehr zu kontrollieren, Firewall Verwendet Zonen und Dienste. Also zu verstehen und mit der Arbeit mit zu arbeiten Firewall, Sie müssen zuerst verstehen, was Zonen und Dienste in Firewall Sind.
Zonen
Zonen sind wie ein Teil des Netzwerks, in dem wir einige Regeln festlegen oder spezifische Sicherheitsanforderungen festlegen, um den Verkehrsfluss gemäß den definierten Regeln der Zone zu verwalten und zu steuern. Wir deklarieren zuerst die Regeln einer Zone, und dann wird ihm eine Netzwerkschnittstelle zugewiesen, auf die die Sicherheitsregeln angewendet werden.
Wir können jede Regel basierend auf der Netzwerkumgebung festlegen oder ändern. Für öffentliche Netzwerke können wir einige strenge Regeln für unsere Firewall -Konfiguration festlegen. Für ein Heimnetzwerk müssen Sie jedoch keine strengen Regeln festlegen, aber einige grundlegende Regeln funktionieren gut.
Es gibt einige vordefinierte Zonen von der Firewall basierend auf der Vertrauensebene. Es ist also besser, sie zu verstehen und sie nach der Sicherheitsstufe zu nutzen, die wir festlegen möchten.
Es ist nicht obligatorisch, die Zonen zu folgen und zu verwenden, da sie vor Definition sind. Wir können die Regeln der Zone ändern und später eine Netzwerkschnittstelle zuweisen.
Einstellungen für Firewall -Regeln
Es kann zwei Arten von Regeln in der Firewall:
Wenn wir einen Regeln hinzufügen oder ändern, wird er nur auf die laufende Firewall angewendet. Nach dem Neuladen des Firewalld -Dienstes oder des Neustarts des Systems lädt der Firewalld -Dienst nur die dauerhaften Konfigurationen. Kürzlich hinzugefügte oder geänderte Regeln werden nicht angewendet, da die Änderungen, die wir an der Firewalld vornehmen, nur an der Laufzeitkonfiguration verwendet werden.
Um die kürzlich hinzugefügten oder geänderten Regeln für das Neustart des Systems oder zum Nachladen des Firewalld -Dienstes zu laden, müssen wir sie zu den ständigen Firewalld -Konfigurationen hinzufügen.
Um die Regeln hinzuzufügen und sie dauerhaft in der Konfiguration zu halten, verwenden Sie einfach das permanente Flag zum Befehl:
$ sudo firewall-cmd --permanent [Optionen]
Laden Sie nach dem Hinzufügen der Regeln zu den permanenten Konfigurationen die Firewall-CMD mit dem Befehl neu:
$ sudo firewall-cmd-Reload
Wenn Sie andererseits die Laufzeitregeln zu den dauerhaften Einstellungen hinzufügen möchten, verwenden Sie den unten eingeführten Befehl:
$ sudo Firewall-CMD-Runtime-to-Permanent
Mit dem obigen Befehl werden alle Laufzeitregeln zu den ständigen Firewall -Einstellungen hinzugefügt.
Installieren und Aktivieren von Firewalld
Firewall Kommt vorinstalliert in der neuesten Version von CentOS 8. Aus irgendeinem Grund ist es jedoch unterbrochen oder nicht installiert. Sie können es mit dem Befehl installieren:
$ sudo DNF installieren Sie Firewalld
Einmal Firewall Daemon ist installiert, starten Sie die Firewall Service Wenn er standardmäßig nicht aktiviert wird.
Um die zu starten Firewall Dienste führen Sie den unten eingeführten Befehl aus:
$ sudo systemctl starten firewalld
Es ist besser, wenn Sie automatisch mit dem Start beginnen, und Sie müssen es nicht immer wieder starten.
Um das zu aktivieren Firewall Daemon führen Sie den unten angegebenen Befehl aus:
$ sudo systemctl aktivieren Firewall
Führen Sie den unten angegebenen Befehl aus, um den Status des Firewall-CMD-Dienstes zu überprüfen:
$ sudo firewall-cmd-State
Sie können in der Ausgabe sehen; Die Firewall läuft vollkommen in Ordnung.
Standard -Firewall -Regeln
Lassen Sie uns einige der Standard -Firewall -Regeln untersuchen, um sie zu verstehen und bei Bedarf vollständig zu ändern.
Um die ausgewählte Zone zu kennen, führen Sie den Befehl Firewall-CMD mit dem unten gezeigten Flag -get-Default-Zone-Flag aus:
$ firewall-cmd --get-Default-Zone
Es wird die Standard -aktive Zone angezeigt, die den eingehenden und ausgehenden Verkehr für die Schnittstelle steuert.
Die Standardzone bleibt die einzige aktive Zone, solange wir nicht geben Firewall Alle Befehle, um die Standardzone zu ändern.
Wir können die aktiven Zonen erhalten, indem wir den Befehl Firewall-CMD mit dem unten gezeigten Flag--active-Zonen-Flag ausführen:
$ Firewall-CMD-GET-Active-Zones
Sie können in der Ausgabe sehen, dass die Firewall unsere Netzwerkschnittstelle steuert, und die Regeln der öffentlichen Zone werden auf der Netzwerkschnittstelle angewendet.
Wenn Sie Regeln für die öffentliche Zone definiert lassen möchten, führen Sie den unten eingereichten Befehl aus:
$ sudo firewall-cmd-list-alle
Durch die Betrachtung der Ausgabe können Sie beobachten, dass diese öffentliche Zone die Standardzone und eine aktive Zone ist, und unsere Netzwerkschnittstelle ist mit dieser Zone verbunden.
Änderungszone der Netzwerkschnittstelle
Da wir die Zonen ändern und die Netzwerkschnittstellenzone ändern können, sind die Zonen des Wechsels nützlich, wenn wir mehr als eine Schnittstelle auf unserem Computer haben.
Um die Zone der Netzwerkschnittstelle zu ändern, können Sie den Befehl Firewall -CMD verwenden, den Zonennamen für die Option -zone und den Namen der Netzwerkschnittstellen an die Option -Change -Schnitt -Option angeben:
$ sudo firewall-cmd --zone = Arbeit-Change-Schnittstelle = Eth1
Um zu überprüfen, ob entweder die Zone geändert wird oder nicht, führen Sie den Befehl Firewall-CMD mit -etaktiven Zonen Option aus:
$ sudo firewall-cmd --getaktive Zonen
Sie können sehen, dass die Zone der Schnittstelle nach Belieben erfolgreich verändert wird.
Standardzone ändern
Falls Sie die Standardzone ändern möchten, können Sie die Option -set-Default-Zone-Option verwenden und ihm den Zonennamen geben, den Sie mit dem Befehl Firewall-CMD festlegen möchten:
Zum Beispiel, um die Standardzone nach Hause anstelle der öffentlichen Zone zu ändern:
$ sudo Firewall-cmd-Set-Default-Zone = Home
Führen Sie zur Überprüfung den unten angegebenen Befehl aus, um den Standardzonennamen zu erhalten:
$ sudo Firewall-cmd --get-Default-Zone
Okay, nach dem Spielen mit Zonen und Netzwerkschnittstellen lernen wir, wie Sie Regeln für Anwendungen in der Firewall auf CentOS 8 -Betriebssystem festlegen.
Festlegen von Regeln für Anwendungen
Wir können die Firewall konfigurieren und Regeln für Anwendungen festlegen. Lernen Sie also erfahren.
Fügen Sie einer Zone einen Service hinzu
Wir müssen oft einige Dienste in die Zone hinzufügen, in der wir derzeit arbeiten.
Wir können alle Dienste mit der Option -get-Service-Option im Befehl Firewall-CMD erhalten:
$ Firewall-CMD-GET-Services
Um weitere Details zu jedem Service zu erhalten, können wir uns das ansehen .XML -Datei dieses spezifischen Dienstes. Die Servicedatei ist im Verzeichnis/usr/lib/Firewalld/Services -Dienste platziert.
Wenn wir uns beispielsweise den HTTP -Dienst ansehen, sieht dies so aus:
$ cat/usr/lib/firewalld/dienste/http.xml
Um den Service in jeder Zone zu aktivieren oder hinzuzufügen, können wir die Option -add -Service -Option verwenden und ihn mit dem Dienstnamen zur Verfügung stellen.
Wenn wir die Option -zone nicht angeben, wird der Dienst in der Standardzone aufgenommen.
Wenn wir beispielsweise der Standardzone einen HTTP -Dienst hinzufügen möchten, verläuft der Befehl wie folgt:
$ sudo firewall-cmd --add-service = http
Wenn Sie eine bestimmte Zone in einer bestimmten Zone hinzufügen möchten, erwähnen Sie den Zonennamen der Option -zone:
$ sudo firewall-cmd --zone = public --add-service = http
Um die Hinzufügung des Dienstes in die öffentliche Zone zu überprüfen, können Sie die Option -list-Services im Befehl Firewall-CMD verwenden:
$ sudo firewall-cmd --zone = public-list-services
In der obigen Ausgabe können Sie beobachten, dass die in der öffentlichen Zone hinzugefügten Dienste angezeigt werden.
Der HTTP -Dienst, den wir gerade in der öffentlichen Zone hinzugefügt haben, befindet sich jedoch in den Laufzeitkonfigurationen der Firewall. Wenn Sie also den Dienst in die dauerhafte Konfiguration hinzufügen möchten, können Sie dies tun, indem Sie ein zusätzliches Flagge anstellen, während Sie den Dienst hinzufügen:
$ sudo firewall-cmd --zone = public --add-service = http --permanent
Wenn Sie jedoch alle Laufzeitkonfigurationen in die dauerhaften Konfigurationen der Firewall hinzufügen möchten, führen Sie den Befehl Firewall-CMD mit der Option -Runtime-to-Permanent-Option aus:
$ sudo Firewall-CMD-Runtime-to-Permanent
Alle gewünschten oder unerwünschten Laufzeitkonfigurationen werden zu den permanenten Konfigurationen hinzugefügt, indem der obige Befehl ausgeführt wird. Es ist also besser, das permanente Flag zu verwenden, wenn Sie den permanenten Konfigurationen eine Konfiguration hinzufügen möchten.
Um die Änderungen zu überprüfen, listen Sie nun die Dienste auf, die den permanenten Konfigurationen mit der Option -permanent und -List -Services im Befehl Firewall -CMD hinzugefügt haben:
$ sudo firewall-cmd --zone = public-list-services --permanent
So öffnen Sie IP -Adressen und Ports in der Firewall
Mithilfe der Firewall können wir alle oder einige bestimmte IP -Adressen zulassen, einige bestimmte Ports gemäß unserer Anforderung zu übergeben und zu öffnen.
Erlauben Sie eine Quell -IP
Um den Verkehrsfluss von einer bestimmten IP -Adresse zu ermöglichen, können Sie die IP -Adresse der Quelle zulassen und hinzufügen, indem Sie zuerst die Zone erwähnen und die Option -add -Source -Option verwenden:
$ sudo firewall-cmd --zone = public --add-source = 192.168.1.10
Wenn Sie die Quell-IP-Adresse der Firewall-Konfiguration dauerhaft hinzufügen möchten, führen Sie den Befehl Firewall-CMD mit -Runtime-to-Permanent-Option aus:
$ sudo Firewall-CMD-Runtime-to-Permanent
Zur Überprüfung können Sie die Quellen auch mit dem unten angegebenen Befehl auflisten:
$ sudo firewall-cmd --zone = public-list-sources
Stellen Sie im obigen Befehl sicher, dass Sie die Zone erwähnen, deren Quellen Sie auflisten möchten.
Wenn Sie aus irgendeinem Grund eine Quell -IP -Adresse entfernen möchten, würde der Befehl zum Entfernen der Quell -IP -Adresse so verlaufen:
$ sudo firewall-cmd --zone = public-remove-source = 192.168.1.10
Öffnen Sie einen Quellport
Um einen Port zu öffnen, müssen wir zunächst die Zone erwähnen, und dann können wir die Option -add -Port verwenden, um den Port zu öffnen:
$ sudo firewall-cmd --zone = public --add-port = 8080/tcp
Im obigen Befehl ist /TCP das Protokoll; Sie können das Protokoll nach Ihren Bedürfnissen wie UDP, SCTP usw. bereitstellen.
Zur Überprüfung können Sie die Ports auch mit dem unten angegebenen Befehl auflisten:
$ sudo firewall-cmd --zone = public-list-ports
Stellen Sie im obigen Befehl sicher, dass Sie die Zone erwähnen, deren Ports Sie auflisten möchten.
Um den Port offen zu halten und diese Konfigurationen zur dauerhaften Konfiguration hinzuzufügen, verwendet entweder das Permanent -Flag am Ende des obigen Befehls oder führt den unten angegebenen Befehl aus, um die gesamte Laufzeitkonfiguration zur dauerhaften Konfiguration der Firewall hinzuzufügen:
$ sudo Firewall-CMD-Runtime-to-Permanent
Wenn Sie aus irgendeinem Grund einen Port entfernen möchten, würde der Befehl zum Entfernen des Ports so verlaufen:
$ sudo firewall-cmd --zone = public-remove-port = 8080/tcp
Abschluss
In diesem detaillierten und tiefgreifenden Beitrag haben Sie gelernt, was eine Firewall ist, die grundlegenden Konzepte einer Firewall, was Zonen sind und Firewall Regelneinstellungen. Sie haben gelernt, die zu installieren und zu aktivieren Firewall Service auf CentOS 8 Betriebssystem.
In der Konfiguration der Firewall haben Sie die Standard-Firewall-Regeln, die Auflistung von Standardzonen, aktiven Zonen und allen Zonen der Firewall-CMD erfahren. Darüber hinaus enthält dieser Beitrag eine kurz.
Nachdem Sie diesen Beitrag gelesen haben, verwalten Sie den Verkehrsfluss auf Ihren Server und ändern die Regeln der Zone, da dieser Beitrag eine detaillierte Beschreibung der Verwaltung, Konfiguration und Verwaltung der Firewall im CentOS 8 -Betriebssystem enthält.
Wenn Sie mehr graben und mehr über Firewall erfahren möchten, zögern Sie nicht, die offizielle Dokumentation von zu besuchen Firewall.